2007/3/16, Victor Hugo dos Santos
El 16/03/07, javier rojas
escribió: Buenos dias amigos,
tengo una aplicacion montada en dos servidores, uno es el webserver (apache) con la aplicacion como tal (php), y el otro tiene la base de datos (mysql) de esa aplicacion.
Basicamente lo que quiero es bloquear todos los accesos al servidor de base de datos, menos ssh (puerto 22) y las consultas y queries de mysql (creo que es el puerto 3306) que provengan del webserver
si tengo que hacer un ssh debo entrar al webserver y hacerlo desde alli...
estaba revisando en internet y consegui esto para iptables
iptables -A INPUT -s ! xx.xx.xx.xx -p tcp --dport 22 -j DROP
estas malo !!!!
el correcto es denegar todo el acceso y permitir solamente el estrictamente necesario....
por ejemplo:
iptables -P INPUT DROP iptables -A INPUT -s xx.xx.xx.xx -p tcp --dport 22 -j ACCEPT
esto es asi, para bloquear acceso a los demas servicios que puedas tener en la maquina (web, nfs, cups, etc).
ojo... hay una serie de otras reglas adicionales para que la maquina pueda se comunicar correctamente.. y no es solamente estas dos lineas que envio como ejemplo.
para direcciones multiples
iptables -A INPUT -s xx.xx.xx.xx -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s yy.yy.yy.yy -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s zz.zz.zz.zz -p tcp --dport 22 -j ACCEPT
esto esta mejor.. pero como le digo es preferible utilizar la politica por defecto en DROP.
iptables -A INPUT -p tcp --dport 22 -j DROP
mmm.. esta es redundante !!! no sirvira para nada.
mi pregunta... el servidor de base de datos necesitaria de algo mas que configurar el puerto 3306?
nooo
obs: busca en internet por "iptables en 21 segundos" es un manual bueno y como indica el nombre, rapido !!! tambien puede leer el otro documento del mismo autor que explica iptables mas detalladamente.
excelente link, voy por los dos manuales....:) -- Ciao, Javier linux counter #393724 GPG Key Fingerprint = 46B76CFEDB0161089D9ECB22FEFDE7EBA8C2007E --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org